- •1.1. Введение. Понятие политики безопасности
- •Рис. 1. Основные каналы утечки информации при ее обработке на отдельной ПЭВМ
- •1.2. Модель компьютерной системы. Понятие доступа и монитора безопасности
- •Рис. 2. Порождения субъекта и понятие потока
- •Рис. 3. Примеры потоков в КС
- •1.3. Описание типовых политик безопасности
- •1.3.1. Модели на основе дискретных компонент
- •1.3.1.1. Модель АДЕПТ-50
- •1.3.1.2. Пятимерное пространство безопасности Хартстона
- •1.3.1.3. Резюме по моделям Адепт и Хартстона
- •1.3.2. Модели на основе анализа угроз системе
- •1.3.2.1. Игровая модель
- •1.3.2.2. Модель системы безопасности с полным перекрытием
- •1.3.2.3. Резюме по моделям анализа угроз
- •1.3.3. Модели конечных состояний.
- •1.3.3.1. Модель Белла-ЛаПадула.
- •1.3.3.2. Модель low-water-mark (LWM)
- •Таблица 1. Операции в модели LWM
- •1.3.3.3. Модель Лендвера
- •Определение 10
- •1.3.3.4. Резюме по моделям состояний
- •1.4. Обеспечение гарантий выполнения политики безопасности
- •Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).
- •Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).
- •Утверждение 3 (базовая теорема ИПС)
- •Рис. 5. Классическая модель ядра безопасности
- •Рис. 6. Ядро безопасности с учетом контроля порождения субъектов
- •1.5. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности
- •Таблица 2. Иерархия уровней при загрузке ОС
- •Утверждение 4 (условие одинакового состояния КС).
- •Утверждение 5 (достаточное условие ИПС при ступенчатой загрузке).
- •Утверждение 6 (требования к субъектному наполнению изолированной программной среды).
- •Утверждение 7 (достаточное условие чтения реальных данных).
- •1.6. Реализация гарантий выполнения заданной политики безопасности
- •Утверждение 8 (условия генерации ИПС при реализации метода доверенной загрузки).
- •1.7. Опосредованный несанкционированный доступ в компьютерной системе. Модель опосредованного НСД
- •Таблица 3. Полная группа событий в системе «ПП-РПВ»
- •Утверждение 9 (условия невозможности опосредованного НСД в ИПС).
- •Литература к первой части
- •Часть 2. Модели безопасного субъектного взаимодействия в компьютерной системе. Аутентификация пользователей. Сопряжение защитных механизмов
- •2.1. Введение
- •2.1. Процедура идентификации и аутентификации
- •Таблица 1. Объект-эталон для схемы 1
- •Таблица 2. Объект-эталон для схемы 2
- •Утверждение 1 (о подмене эталона).
- •2.2. Формализация задачи сопряжения. Методы сопряжения
- •Утверждение 2. (необходимое условие корректного взаимодействия сопрягаемых субъектов)
- •Утверждение 3. (о свойствах модуля сопряжения)
- •Рис. 1. Методы эмуляции органов управления и замены аутентифицирующего субъекта
- •2.3. Типизация данных, необходимых для обеспечения работы средств сопряжения
- •Таблица 3. Структура объекта вторичной аутентификации
- •Утверждение 4 (о свойствах объекта первичной аутентификации).
- •Утверждение 5 (об изменении информации пользователя в АНП).
- •2.4. Использование внешних субъектов при реализации и гарантировании политики безопасности
- •2.5. Понятие внешнего разделяемого сервиса безопасности. Постановка задачи
- •Рис. 2. Схема взаимодействия МРЗФ с МБО И МБС
- •2.6. Понятие и свойства модуля реализации защитных функций
- •Утверждение 6 (о потенциальной возможности некорректного возврата результата из МРЗФ)
- •Утверждение 7 (о потенциально возможном некорректном вызове МРЗФ)
- •2.7. Проектирование модуля реализации защитных функций в среде гарантирования политики безопасности
- •Утверждение 8 (достаточные условия корректного использования МРЗФ)
- •2.8. Передача параметров при составном потоке
- •Таблица 4. (Свойства составного потока при использовании МРЗФ)
- •2.9. Методика проверки попарной корректности субъектов при проектировании механизмов обеспечения безопасности с учетом передачи параметров
- •Заключение
- •Литература ко второй части
- •Часть 3. Управление безопасностью в компьютерной системе
- •3.1. Введение
- •3.2. Модель управления безопасностью. Термины
- •Утверждение 1 (о корректном управлении в ИПС).
- •Утверждение 2 (условия нарушения корректности управления).
- •Рис. 1. Локализация субъекта и объектов управления в распределенной КС
- •Таблица 1. (локализация управляющего субъекта и объекта управления)
- •3.3. Система удаленного управления безопасностью в отсутствии локального объекта управления
- •Утверждение 3 (необходимое условие 1 для создания системы корректного управления)
- •Утверждение 4 (необходимое условие 2 для создания системы корректного управления)
- •Утверждение 5
- •3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
- •Утверждение 6 (лемма для обоснования метода мягкого администрирования)
- •3.6. Системы управления безопасностью при распределенном объекте управления
- •Утверждение 7 (условия корректности управления при мягком администрировании).
- •Заключение
- •Литература к третьей части
- •Часть 4. Модели сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе
- •4.1. Введение
- •4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
- •Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
- •4.3. Механизмы реализации политики безопасности в локальном сегменте компьютерной системы
- •Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты).
- •Утверждение 2 (о доступе в системе с проецированием прав)
- •Таблица 1. Групповые правила разграничения доступа в ЛС КС
- •Таблица 2. Правила разграничения доступа при запрете транспортировки вовне избранных объектов
- •4.4. Метод межсетевого экранирования. Свойства экранирующего субъекта
- •Утверждение 3 (о существовании декомпозиции на подобъекты).
- •Утверждение 4 (Основная теорема о корректном экранировании).
- •Утверждение 6 (о тождестве фильтра сервисов и изолированной программной среды в рамках локального сегмента КС)
- •4.5. Модель политики безопасности в распределенной системе
- •4.6. Архитектура фильтрующего субъекта и требования к нему
- •Таблица 3. Показатели и классы защищенности межсетевого экрана
- •Заключение
- •Литература к четвертой части
- •Часть 5. Нормативные документы для решения задач компьютерной безопасности
- •Введение к пятой части
- •5.1.2. Структура требований безопасности
- •5.1.3. Показатели защищенности средств вычислительной техники от несанкционированного доступа
- •Таблица 1. Требования к защите от НСД СВТ
- •5.1.5. Классы защищенности автоматизированных систем
- •Таблица 2. Требования к защите от НСД АС
- •5.1.6. Выводы
- •5.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)
- •5.2.1. Цель разработки
- •5.2.2. Общая структура требований «Оранжевой книги»
- •5.2.3. Классы безопасности компьютерных систем
- •Таблица 3. Требования «Оранжевой книги»
- •5.2.4. Интерпретация и развитие “Оранжевой книги”
- •5.2.5. Выводы
- •5.3. Европейские критерии безопасности информационных технологий
- •5.3.1. Основные понятия
- •5.3.2. Функциональные критерии
- •5.3.3. Критерии адекватности
- •5.3.4. Выводы
- •5.4. Федеральные критерии безопасности информационных технологий
- •5.4.1. Цель разработки
- •5.4.2. Основные положения
- •5.4.3. Профиль защиты
- •Назначение и структура Профиля защиты
- •Этапы разработки Профиля защиты
- •5.4.4. Функциональные требования к продукту информационных технологий
- •Таблица 4. Применение критериев ранжирования
- •5.4.5. Требования к процессу разработки продукта информационных технологий
- •5.4.6. Требования к процессу сертификации продукта информационных технологий
- •5.4.7. Выводы
- •Литература к пятой части
- •Заключение. Процесс построения защищенной компьютерной системы
- •Рис. 1. Взаимосвязь методов проектирования защищенной КС.
- •Список сокращений
- 91 -
Особенностью данной конфигурации в случае локального ОУ является необходимость доступа на чтение ко всем объектам ЛС КС и на запись - к ОУ.
2. Транспортировка информации об объектах ЛС КС к какому-либо удаленному объекту во время стартового периода работы пользователя при помощи локального субъекта.
Способ постоянного доступа к объектам ЛС КС требует активности некоторого локального субъекта, управляемого удаленным субъектом администрирования. Основной проблемой в данном случае, как уже отмечалось, является возможность управления локальным субъектом со стороны злоумышленника.
Уменьшить возможности удаленного злоумышленника в части НСД к объектам управления (в частности, полностью исключить возможности изменения объектов ЛС КС (доступ на запись)) возможно, если субъект постоянного доступа имеет доступ только на чтение к объектам ЛС КС, а режим записи в ОУ включается только для некоторых интервалов времени после опознания управляющего субъекта.
Для обеспечения корректного управления необходимо отсутствие злоумышленных субъектов во всей КС. Достаточным условием для этого является существование ИПС на каждом ЛС КС и наличие МБО, запрещающее доступ к объектам ЛС КС любого субъекта, кроме управляющего. Этот факт был сформулирован и доказан выше.
Данное утверждение структурно конкретизирует условия, при которых корректно управление в КС, разделяемой на несколько ЛС КС.
На практике выполнение условий данного утверждения также возможно лишь в топологически замкнутой КС.
Как отмечалось выше, доступ на чтение к объектам ЛС КС при наличии субъекта полного доступа в ряде случаев нежелателен. Требуется уточнить ПБ в части запрета доступа к локальным объектам одного ЛС КС со стороны субъектов другого ЛС КС.
Легко видеть, что предыдущее утверждение в этом случае дополняется реализацией в локальном МБО правила запрета потоков между локальным субъектом и удаленным объектом, принадлежащим другому ЛС КС локальному объекту (к части объектов потоки могут быть разрешены). Информация о разрешенных потоках хранится в локальном ОУ.
3.5. Метод “мягкого администрирования”. Автоматизированное формирование списков разрешенных задач и правил разграничения доступа
В развитых программных комплексах весьма сложным является вопрос формирования ОУ для МБС. Сложность в данном случае связана с тем, что последовательность активизации субъектов какого-либо программного комплекса не является информацией, доступной пользователю. Например, текстовый процессор типа MicrosOft Word 6.0 инициирует несколько десятков субъектов с объектами-источниками типа .DLL (динамические библиотеки).
- 92 -
При замыкании программного комплекса в ИПС отсутствие в списке разрешенных для порождения субъектов объектов-источников какой-либо библиотеки делает невозможным доступ к реализуемой в библиотеке функции. Это в свою очередь означает снижение пользовательских свойств КС и в конечном итоге ухудшение такой характеристики КС, как доступность некоторого ресурса.
Таким образом, налицо достаточно сложная проблема управления МБС. Ранее для разрешения возникающих проблем в сложных программных пакетах в список разрешенных объектов-источников вносились все файлы типа “исполняемый” (включая библиотеки, драйверы и т.д.). Такой подход порождал некоторую функциональную избыточность относительно защиты.
Часто в сложных программных средах существуют возможности типа инструментальных или отладочных, которые не предназначены для пользователя, но либо используются при конфигурировании и наладке среды, либо недокументированны. Избыточность при составлении ОУ для МБС автоматически включает все указанные инструментальные возможности внутрь сформированной ИПС. Выше указывалось, что инструментальные возможности потенциально могут нарушать условия функционирования ИПС (нарушать корректность межсубъектного взаимодействия, либо инициировать потоки к объектам с иным (более низким) уровнем представления).
Предлагается метод формирования ОУ для МБС, который условно можно назвать методом мягкого администрирования. Суть метода заключается в следующем.
До установки защитных модулей в КС (имеется в виду МБО и МБС) в программную среду устанавливается субъект, который обладает следующими свойствами: отслеживает все факты порождения субъектов с фиксацией (как минимум) объектов-источников и протоколирует (записывает) их в некоторый объект (исходный список мягкого администрирования). Через некоторый промежуток времени содержимое объекта изучается администратором, который проделывает ряд действий.
1.Проводит сортировку имен объектов-источников (с целью удаления повторяющихся имен объектов-источников).
2.Проверяет по указанным именам объектов фактическое наличие их в
КС.
3.Редуцирует имена несуществующих объектов.
4.Исключает из списка объекты-источники, порождающие субъекты со свойством заведомой некорректности (инструментальные, отладочные средства
ит.д.).
После выполнения пп. 1-4 администратор получает список объектовисточников, который он может использовать для формирования ОУ МБС. Однако необходимо заметить, что в случае наличия среди пользователей КС пользователя со злоумышленными намерениями, осведомленного о применении метода мягкого администрирования, в процедуре управления возможны некорректные действия. Данные действия связаны с маскировкой
- 93 -
объекта-источника для порождения некорректного субъекта под объект с иным именем. В данном случае регистрация такого субъекта в ОУ МБС приведет к невыполнению условий изолированности среды. Кроме того, пользовательзлоумышленник может подменить некий файл своим в промежуток времени от снятия списка мягкого администрирования до установки защиты (формирования ОУ МБС).
Указанного выше недостатка лишен модифицированный метод мягкого администрирования. Условием применения данного метода будет наличие эталонного перечня объектов-источников для некоторого программного пакета. Итак, пусть имеется программный пакет, состоящий из m исполняемых файлов (объектов-источников) P={F1, ..., Fm}. Администратор вычисляет хеш-функции hi=H(Fi) и хранит объект эталонов Oe={h1, ..., hm}. Пусть в списке-источнике мягкого администрирования присутствует некоторое подмножество R объектов множества P. Тогда при регистрации объекта-источника Fi (Fi принадлежит R) в ОУ МБС производятся следующие действия:
1.Проверяется принадлежность Fi к P. В случае положительного исхода проверки - переход к п. 2, иначе объект игнорируется.
2.Вычисляется gi=H(Fi) и проверяется совпадение hi и gi. При несовпадении объект игнорируется, иначе к п. 3.
3.Формируется список объектов LIST для пополнения ОУ МБС.
Покажем, что при таком методе мягкого администрирования в рамках множества субъектов, порождаемых из объектов источников P, генерируется ИПС. Предположим, что до момента времени t0 в КС существует ИПС, причем все субъекты порождены с контролем неизменности из объектов некоторого множества T (содержательный смысл данного множества - описание объектовисточников субъектов, которые были порождены до момента порождения субъектов пакета P). В момент t0 ОУ МБС пополняется объектами списка LIST.
Утверждение 6 (лемма для обоснования метода мягкого администрирования)
Пусть в момент времени t0 в КС действует ИПС с контролем неизменности объектов-источников и все множество разрешенных для порождения субъектов объектов-источников составляет объединение P и T. Тогда в любой момент t>t0 в КС также сохраняется ИПС при условии попарной корректности субъектов, могущих быть порожденными из P и T.
Доказательство Предположим для простоты, что вывод о неизменности объекта-источника
безошибочен (поскольку используется неоднозначное отображение, то это не так, в таком случае вероятность разрушения ИПС совпадает с вероятностью принять нетождественный объект-источник за тождественный). В этом случае по построению процедуры составления списка LIST в нем зафиксированы только неизменные относительно эталонов объекты-источники. По условию все файлы из пакета P попарно корректны между собой и субъектами, могущими быть порожденными из T. Следовательно, подмножество R также содержит только попарно корректные субъекты, поскольку в КС действует контроль